荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (I wait for you), 信区: Virus
标 题: 完全破解短小精悍的蠕虫病毒Aliz
发信站: 荔园晨风BBS站 (Fri Nov 23 20:24:12 2001), 站内信件
病毒特征说明
病毒名字:worm.Aliz.4096
这是一个仅仅4K的蠕虫病毒。全部采用Win32汇编所写,而且,它的PE头偏移
仅为64,它将MZstub精简至前64字节内。在DOS下运行时会有"Win32 only!"的提示
。
该蠕虫运行不会在系统中生成其它文件、也不修改注册表。它如果要再次传播
需要再次预览有毒邮件,因此杀除很容易(将带毒邮件删除、将OUTLOOK/OE在临时
目录下生成的临时病毒文件删除即可)。该蠕虫解码后可以看到它的"版权"信息:
worm.alizee by mar00n!ikx2oo1
该蠕虫病毒同样采用了IFRAME execcommand漏洞(同尼姆达、求职信),使带
毒邮件能在用户预览时中毒,在预览邮件甚至还没有正式开启时,该病毒都会透过
MIME的漏洞自动执行并感染。病毒邮件的附件名为whatever.exe,在它运行时,它
会寻找windows的地址簿文件(WAB)里面是否包含有email地址;如果有,它再检
查注册表
HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts\00000001
取得系统发信的SMTP服务器、用户名、密码,如果找到就开始传播自己。
病毒于是开始创建HTML格式的邮件,并将自己本身用base64编码然后放入附件
(附件名为whatever.exe,类型为audio/x-wav),然后用SMTP命令发送邮件。
邮件的信息如下:
其主题不定,病毒会自动在以下词中选择部分组成主题:
FW:Fw: Re:、Cool、Nice、Hot 、some、Funny、weird、funky、great、
Interesting、many、website、site、pics、urls、pictures、stuffs、mp3、
shi、music、info、to check、you、I found、tosee here ?check it?!、!、:-)
、?!、heh;-)、
信件内容: peace
其主题不定但附件确定,附件名:WHATEVER.EXE,4096字节
补丁下载:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。
1. outlook http://www.microsoft.com/windows/ie/downloads/
critical/q290108/default.asp
2.outlook 2000 http://office.microsoft.
com/korea/downloads/2000/outlctlx.aspx
3.outlook 2002 (office XP) http://office.microsoft.com/
korea/downloads/2002/OLK1003.aspx
--
┏──┓ ┏──┓
│┏──┓ ┌以 ┐ ┌─速 │┏──┓
━┼思念┼━━───────────────────────┼蔓延┼─ -→
┗──┛│─总是 ─┘ 让人 ─难以接受的 ──┘ 度─ ┗──┛│
┗──┛ ┗──┛
___________________________________________________________________ xhjx
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店